Fonctions de gestion des variables
PHP Manual

unserialize

(PHP 4, PHP 5, PHP 7)

unserializeCrée une variable PHP à partir d'une valeur linéarisée

Description

mixed unserialize ( string $str [, array $options ] )

unserialize() prend une variable linéarisée (voir serialize()) et la convertit en variable PHP.

Avertissement

Ne passez pas d'entrée utilisateur non fiable à la fonction unserialize(). La délinéarisation peut résulter en une exécution de code chargé et exécuté lors de l'instanciation et l'auto-chargement d'objet, et ainsi, un utilisateur mal intentionné peut être capable d'exploiter ce comportement. Utilisez un standard d'échange sûr, comme JSON (via les fonctions json_decode() et json_encode()) si vous devez passer des données linéarisées à l'utilisateur.

Si vous avez besoin de délinéariser des données linéarisées dans un magasin externe, vous devriez utiliser la fonction hash_hmac() pour valider les données. Assurez-vous que les données n'ont été modifiées par personne d'autre que vous.

Liste de paramètres

str

La chaîne linéarisée.

Si la variable délinéarisée est un objet, après avoir réussi à le reconstruire, PHP appellera automatiquement la méthode __wakeup si elle existe.

Note: unserialize_callback_func directive

Il est possible de définir une fonction de rappel qui sera appelée si une classe indéfinie est utilisée lors de la délinéarisation (ce qui évitera de voir l'objet recevoir le type d'objet incomplet object "__PHP_Incomplete_Class"). Utilisez dans votre fichier php.ini ou le fichier .htaccess, ou encore avec la fonction ini_set(), pour définir une fonction unserialize_callback_func(). Chaque fois qu'une classe non-définie sera instanciée, cette fonction sera appelée. Pour désactiver cette fonctionnalité, laissez la simplement vide.

options

Toute option à fournir à unserialize(), sous la forme d'un tableau associatif.

Options valides
Nom Type Description
allowed_classes mixed Soit un tableau de noms de classes qui doivent être acceptées, FALSE pour accepter aucune classe, ou TRUE pour accepter toutes les classes. Si cette option est définie, et unserialize() rencontre un objet d'une classe qui n'est pas accepté, alors l'objet sera instancié plutôt comme __PHP_Incomplete_Class. Le fait d'ommettre cette option revient à le définir comme TRUE : PHP va tenter d'instancier les objets de n'importe quelle classe.

Valeurs de retour

La valeur convertie est retournée par la fonction, et peut être de type booléen, entier, nombre décimal, chaîne de caractères, tableau ou objet.

Si la chaîne passée ne peut être délinéarisée, cette fonction retourne FALSE et une erreur E_NOTICE est émise.

Historique

Version Description
7.0.0 Le paramètre options a été ajouté.
5.6.0 La manipulation des données linéarisées en remplaçant C: avec O: pour forcer l'instanciation d'objet sans appeler le constructeur échoue dorénavant.

Exemples

Exemple #1 Exemple avec unserialize()

<?php
// Ici, on utilise <function>unserialize</function> pour charger les données de sessions
// depuis la base de données, dans $session_data. Cet exemple complète
// celui fourni avec <function>serialize</function>.

$conn odbc_connect("webdb""php""chicken");
$stmt odbc_prepare($conn"SELECT data FROM sessions WHERE id = ?");
$sqldata = array($_SERVER['PHP_AUTH_USER']);
if (!
odbc_execute($stmt$sqldata) || !odbc_fetch_into($stmt$tmp)) {
    
// si la préparation ou la lecture échouent, on crée un tableau vide
    
$session_data = array();
} else {
    
// les données sauvées sont dans $tmp[0].
    
$session_data unserialize($tmp[0]);
    if (!
is_array($session_data)) {
        
// Erreur... initialisation d'un tableau vide
        
$session_data = array();
    }
}
?>

Exemple #2 Exemple avec la directive unserialize_callback_func

<?php
$serialized_object
='O:1:"a":1:{s:5:"value";s:3:"100";}';

ini_set('unserialize_callback_func''mycallback');

function 
mycallback($classname
{
    
// Incluez simplement un fichier contenant votre définition de classe
    // vous saurez quelle classe grâce à $classname
}
?>

Notes

Avertissement

FALSE est retourné dans les cas où une erreur survient et si vous tentez de délinéariser une valeur linéarisé égale à FALSE. Il est possible d'intercepter ce cas spécial en comparant str avec serialize(false) ou en attrapant l'erreur E_NOTICE émise.

Voir aussi


Fonctions de gestion des variables
PHP Manual